Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

September 19 2013

Staatswohl: Bundesregierung verweigert Auskunft, ob deutsche Geheimdienste Verschlüsselung knacken können

Die Öffentlichkeit darf nicht erfahren, ob deutsche Behörden Verschlüsselungsverfahren knacken können, weil sonst das Staatswohl gefährdet wird. Mit dieser Begründung lehnt die Bundesregierung eine Auskunft über diese Frage ab. Mindestens Bundesamt für Verfassungsschutz und Zollkriminalamt setzen sich aber mit der Frage auseinander, das Bundeskriminalamt umgeht Verschlüsselung mit Staatstrojanern.

Vor zwei Wochen erhielten wir einen kleinen Einblick, wie die anglo-amerikanischen Geheimdienste verbreitete Verschlüsselungs-Technologien knacken und umgehen. Der Linkspartei-Bundestagsabgeordnete Andrej Hunko hat das zum Anlass genommen, die deutsche Bundesregierug mal zu fragen, auf welchem Stand deutsche Behörden bei der Überwindung von Verschlüsselung sind. Jetzt ist die Antwort da.

Also, wenn man das Wort “Antwort” gelten lässt. Auf mehr als zwei Seiten führt die Bundesregierung zunächst aus, dass “im Hinblick auf das Staatswohl” die eigentliche Antwort geheim ist. Das Geheimhaltungsinteresse der Behörden ist hier größer als das Fragerecht der Abgeordneten. Die Häppchen für die gemeine Öffentlichkeit lassen sich in etwa so zusammenfassen:

Bundeskriminalamt

Die Bundesoberbehörde kann Verschlüsselung nicht selbst brechen bzw. dechiffrieren. Sehr wohl jedoch haben sie mit Staatstrojanern die Verschlüsselung umgangen und wollen das auch weiterhin tun. Über weitergehende Mittel tauschen sie sich mit anderen Staaten in der “Remote Forensic Software User Group” aus.

Militärischer Abschirmdienst

Der Nachrichtendienst der Bundeswehr hat sich mit der Fragestellung noch nicht befasst.

Bundesamt für Verfassungsschutz

Der Inlandsnachrichtendienst beschäftigt sich mit dem Thema. Alles andere ist geheim.

Zollkriminalamt

Die Bundesmittelbehörde hat sich “auch mit dem Überwinden von verschlüsselten Verfahren befasst.” Zudem führt man “Marktbeobachtungen” durch, welche Produkte das können. Schließlich hat man sich auch in multilateralen Standardisierungsgremien damit befasst, hier wird “insbesondere” das Europäisches Institut für Telekommunikationsnormen (ETSI) genannt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 02 2012

Skype und die Überwachungsdiskussion

Momentan werden die Überwachungsmöglichkeiten von Skype diskutiert. Ausgangspunkt waren der Umzug von Verbindungsservern in Rechenzentren von Skype Eigentümer Microsoft und ein Artikel der Washington Post. Letzterer beruft sich auf Insider die über strukturelle Veränderungen und eine bessere Zusammenarbeit mit staatlichen Stellen berichten. Skype weist die Vorwürfe zurück – allerdings findet sich keine explizite Aussage welche Überwachungsmöglichkeiten bestehen und welche nicht. Jedenfalls betont Skype, dass sie durch die Serverumzüge nicht weiter ausgebaut worden wären. Behörden würde man Auskünfte innerhalb des gesetzlichen Rahmens erteilen, sofern Skype die Daten liefern könne. Nun stellt sich die Frage, wie die Überwachungssituation bei Skype wirklich aussieht. Eine Frage die nicht leicht zu beantworten ist.

Die technische Seite

Skype brüstete sich in der Vergangenheit immer wieder damit, das sie einer Überwachungsanordnung seitens der Polizei nicht entsprechen können. Mittlerweile äußern sie sich dazu nur noch ausweichend. Das Statement zu Überwachungsfragen lautet:

Our position has always been that when a law enforcement entity follows the appropriate procedures, we respond where legally required and technically feasible.

Technisch umsetzbar ist das Abhören von Voice- und Video-Calls bereits mit der vorhanden Infrastruktur. Der Richter Ulf Buermeyer beschreibt in seinem Blog die Möglichkeit über die in die Software integrierten Funktionen vom “normalen” Telefonnetz eingehende Anrufe zu empfangen (Skype-In) und in dieses zu telefonieren (Skype-Out) die Gespräche über Skype Server umleiten zu können. Dem anrufenden Skype-Clienten könnte so ein das Skype-Netz verlassendes Gespräch vorgegaukelt werden, dem angerufenen ein Anruf aus dem normalen Telefonnetz. Gespräche die das Skype-Netz verlassen müssen immer über Skype-Server laufen, auf welchen sie unverschlüsselt vorliegen. Skype kann so über die bereits vorhandene Infrastruktur einen Man-in-the-Middle-Angriff realisieren und die Ende-zu-Ende Verschlüsselung der Skype-Clienten aufheben.

Alternativ dazu könnten natürlich auch direkt in der Skype-Software Abhörmechanismen eingebaut werden. Ob und wie Überwachungsmechanismen umgesetzt wurden, lässt sich allerdings nicht nachvollziehen, da es sich um proprietäre Software handelt deren Source-Code man nicht einsehen kann. Technisch ist das Abhören von Skypegesprächen seitens Skype jedenfalls kein Problem – offen bleibt ob es auch gemacht wird – schauen wir uns die Aussagen und Gegebenheiten an.

Niemand hat die Absicht, Skype Gespräche abzuhören!

In den Skype AGBs stimmt man als Skype-Nutzer der Offenlegung von Informationen im Rechtsrahmen zu:

Skype, der örtliche Skype-Partner oder der Betreiber bzw. Anbieter, der die Kommunikation ermöglicht, stellt personenbezogene Daten, Kommunikationsinhalte oder Verkehrsdaten Justiz-, Strafvollzugs- oder Regierungsbehörden zur Verfügung, die derartige Informationen rechtmäßig anfordern. Skype wird zur Erfüllung dieser Anforderung angemessene Unterstützung und Informationen bereitstellen, und Sie stimmen hiermit einer derartigen Offenlegung zu.

Zu Chat-Nachrichten findet sich ebenfalls ein Absatz, der Skype erlaubt die Chat-Daten 30 Tage auf ihren Servern zu speichern:

Skype kann die Inhalte Ihrer Sofortnachrichten (Chats) speichern, um (a) Ihre Nachrichten zu übermitteln und zu synchronisieren und (b) Ihnen sofern möglich den Abruf Ihres Chat-Protokolls zu ermöglichen. Die Sofortnachrichten werden höchstens 30 Tage lang aufbewahrt, wenn gesetzlich nichts anderes festgelegt ist.

2007 äußerte Chief Security Officer Kurt Sauer auf zdnet.de auf die Frage ob Skype-Telefonate abgehört werden können:

Wir antworten auf diese Frage: Wir stellen eine sichere Kommunikationsmöglichkeit zur Verfügung. Ich werden Ihnen nicht sagen, ob wir dabei zuhören können oder nicht.

Betrachtet man, was bisher im Bereich-Skype-Überwachung bekannt wurde scheint das Vorhandensein eine Überwachungsmöglichkeit mehr als wahrscheinlich.

  • TOM-Skype, die chinesische Skype-Version, filtert und blockiert Textnachrichten und gibt diese an chinesische Behörden weiter. Dem Dienst vertrauten auch viele Bürgerrechtler die auf sichere Kommunikationsmöglichkeiten besonders angewiesen sind. Betroffen davon sind aber auch Nutzer in anderen Ländern, wenn sie mit einem TOM-Skype-Nutzer in China kommunizieren.
  • Mitte 2008 fand ein Treffen zwischen dem österreichischen Innenministerium und Providern statt. Laut ORF-Bericht wurde dort die Voll-Überwachung einzelner Internetanschlüsse diskutiert. Auf der anschließeneden Auskunftsveranstaltung sei zu erfahren gewesen, “dass die Überwachung von verschlüsselten Telefonaten via Skype zwar nicht ganz trivial sei, aber kein wirkliches Problem mehr darstelle.” Kurz zuvor sei die Skype-Verschlüsselung noch eines der Argumente zur Notwendigkeit des Bundestrojaners gewesen.
  • In einer Pressemitteilung von Anfang 2009 warf die europäische Behörde zur Koordinierung grenzüberschreitender Strafermittlung Eurojust Skype vor, das Abhören von Skype-Telefonaten durch Verschlüsselung zu verhindern. Sie korrigierte sich jedoch: Es gäbe bereits seit 2006 Treffen und eine Kooperation mit Skype. Skype habe in der Mitteilung nur als Beispiel für VoIP gedient.
  • Der Anwalt Udo Vetter bloggte 2010 von einem Rechtsstreit, in dem ein Ermittlungsbeamter aussagte,

    Seine Behörde könne Skype – auch Gespräche von Skype zu Skype – heute genauso abhören wie das normale Telefon. Wie, wollte er allerdings nicht verraten. Die Vorsitzende Richterin merkte dazu an, sie habe in ganz neuen Sachen auch schon Skype-Abhörprotokolle gesehen.

  • Seit 2010 betreibt Skype zentrale Netzwerkknoten (Supernodes). Diese dienen als Kommunikationsvermittler, können aber auch Kommunikationsverbindungen über sich routen, um eine Verbindung zu ermöglichen, die Peer-to-Peer nicht zustande kommen kann. Auf der anderen Seite wurde hierdurch aber auch die Infrastruktur geschaffen um Kommunikation abzuhören.
  • Mitte 2011, kurz nach dem Kauf Skypes, wurde Microsoft ein Patent zugesprochen, dass das Abhören von VoIP beschreibt. Microsoft besitzt also ein Patent um Skype abzuhören…
  • Erst kürzlich wurde bekannt, dass Microsoft die von Nutzern hochgeladenen Daten auf Skydrive auf Verstöße gegen die AGB scannt und bei einem Verstoß den kompletten Windows Live Zugang sperrt.

Weitere Bedrohungen

  • In mehreren Ländern wird die Forderung oder Einführung von Staatstrojanern mit Skype begründet. Die Trojaner werden auf dem Zielrechner installiert und fangen die Kommunikation noch vor der Verschlüsselung bzw. nach der Entschlüsselung ab und leiten sie an die Überwacher weiter. Letztlich handelt es sich um eine spezielle Art der Online-Durchsuchung.
  • Das Europäische Institut für Telekommunikationsnormen (ETSI) standardisiert die Überwachung von Telekommunikation. Gerade ist man dabei Standards für die Cloud und Web2.0 Dienste auszuarbeiten. Darunter fallen neben sozialen Netzwerken, auch Chat und VoIP – also auch Skype. Die Polizei soll sowohl live auf die Inhaltsdaten zugreifen, als auch die Vorratsdaten der Kommunikation abrufen können. Um dies zu gewährleisten sollen die Anbieter gezwungen werden Hintertüren einzubauen. Außerdem soll die SSL-Verschlüsselung mit Man-in-the-Middle-Angriffen ausgesetzt werden – wir berichteten.

Fazit

Einen definitven Beweis für eine Abhörschnittstelle gibt es nicht, aber einige Informationen die stutzig machen. Da der Code Closed-Source ist kann nichts überprüft werden und man ist darauf angewiesen, dem Lavieren seitens Skype zu vertrauen.

Gerade unter Regimekritikerinnen hat Skype einen guten Ruf in Sachen Sicherheit. Die momentane Informationslage lässt den Sicherheits-Status von Skype allerdings anzweifeln. Insbesondere Regimekritiker sollten auf freie Software mit freien Implementierungen von Verschlüsselungsstandards setzen (zum Chatten beispielsweise Jabber mit OTR-Encryption) – alle anderen aber natürlich auch…

flattr this!

July 25 2012

Europa und die Cloud: Standard zur Überwachung und Kritik von Datenschützern

Die Auslagerung von Daten in die Cloud bereitet den Behörden Sorge. Um weiterhin Abhören zu können, werden europaweite Standards zur Überwachung von Cloud-Diensten erarbeitet. Falls Verschlüsselung eingesetzt wird, soll die umgangen werden. Datenschützer hingegen kritisieren die Cloud, da nie klar ist in welcher Jurisdiktion die Daten liegen.

Das von der Europäischen Kommission gegründete Europäische Institut für Telekommunikationsnormen (ETSI) arbeitet derzeit an einem Standard zur Überwachung von Cloud-Diensten. Laut dem Entwurf sollen die Cloud-Anbieter Schnittstellen zur Verfügung stellen, mit denen Behörden die Daten und Aktivitäten der Nutzerinnen abhören können – in Echtzeit.

Erich Moechel berichtet auf ORF.at:

Wegen des “nomadischen Zugangs zu Diensten in der Cloud” sei es unwahrscheinlich, dass ein Internet-Zugangsprovider alle Überwachungsanfragen bedienen könne. Um dennoch “die Überwachbarkeit zu gewährleisten, muss der Cloud-Anbieter eine Überwachungsfunktion einbauen”, heißt es einen Abschnitt weiter (4.3)

Mit “nomadischem Zugang” ist gemeint, dass Facebookbenutzer über alle möglichen Wege daherkommen können, ob es das eigene DSL ist, drahtlose Breitbanddienste oder ein offenes WLAN-Netz. Man müsste also die Daten eines Facebook-Benutzers nicht nur bei mehreren Zugangsprovidern einsammeln, was nahe an der Echtzeit unmöglich ist. Zudem würde das nur einen Teil der Informationen bringen, die an einer Schnittstelle direkt bei Facebook abgegriffen werden könnten.

Dazu soll auch die SSL-Verschlüsselung angegriffen werden. Und zwar wollen Behörden mit “Deep Packet Inspection”-Systemen (DPI) “Man-in-the-Middle”-Attacken gegen die Verschlüsselung durchführen. Aus dem Entwurf:

Erich Moechel weiter:

“Deep Packet Inspection wird wahrscheinlich ein konstituierendes Element dieses Systems sein”, heißt es denn auch unter 4.3 im ETSI-Dokument unter den “Herausforderungen der Anforderungen” “(“Requirement Challenges”). Darüber wird als nächstes ebenso berichtet werden, wie über die Szenarien der staatlich sanktionierten Angriffe auf Skype, VoIP und Tauschbörsen, denen sämtlich sogenannte Peer-To-Peer-Protokolle zu Grunde liegen.

Skype hat übrigens gerade wieder auf die Frage, ob sie Gespräche abhören können, geantwortet: Kein Kommentar.

Eine andere EU-Institution sieht das mit dem Cloud-Computing kritischer. Die Artikel 29 Datenschutzgruppe veröffentlichte Anfang des Monats eine Stellungnahme mit ihrer Einschätzung der Cloud.

Die Datenschützer sehen “eine Reihe von Datenschutz-Risiken, vor allem einen Mangel an Kontrolle über persönliche Daten sowie unzureichende Informationen über die Fragen, wie, wo und von wem die Daten (weiter-)verarbeitet werden.” Da in der Cloud nie klar ist, wo die Daten physisch liegen ist auch die Jurisdiktion darüber unklar. Die europäische Datenschutzrichtlinie verbietet es jedoch, personenbezogene Daten in Staaten mit schwächerem Datenschutz auszulagern.

Dass dürfte jedoch bei Cloud-Diensten eher die Regel als die Ausnahme sein. Die existierenden Safe Harbor-Vereinbarung zwischen EU und USA sind daher unzureichend. Hier sehen die Datenschützer dringenden Klärungsbedarf.

Bis dahin sollten europäische Firmen ihre Cloud-Dienstleister ganz genau evaluieren und gegebenenfalls schriftlich versichern lassen, wohin die eigenen Daten übermittelt werden.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl